警惕最近被滥用的合法软件和相关捆绑软件

警惕：利用云助手进行演练和黑产攻击事件频发 - 安全内参 | 决策者的网络安全知识库 (secrss.com)

最近好像挺多相关被滥用的合法软件包括阿里云助手、长亭云助手、IP-Guard、山东固信、360云管理等软件，攻击者重新打包这些合法软件，然后在网上散播，杀毒软件不会直接查杀这些程序。然后攻击者可以直接远控这些电脑。

百度直接搜谷歌浏览器下载就会有很多这类假的Chrome网站

这些都是假的下载页面
||chrome64.com^
||polamus.com^
||rrrxz.com^
||7273.com^
||cmrrs.com^
||ssxdzsw.com^
||shuacang.com^
||vpubgcubbwqz.cn^
||lvxingyi.net^
||googlenav.cn^
||sinoins.cn^
||cricitpk.com^
||zhaowoo.net^
||daowa.net^
||zg365.net^
||fiust.com^
||chrome-web.com^

然后下载地址是：https://vip.123pan.cn/1836317787/xz/Google.zip

这个软件是Google浏览器和固信安全终端的捆绑，就相当于直接在电脑里装了随时远控的后门。而且由于是固信安全终端，程序的证书都是合法的。

最近有泛滥趋势，请大家注意防范。

收到，感谢提醒点赞

大佬给的链接是能下的还是不能的啊

能的‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

能下，但是是Chrome和这个安全软件捆绑的软件。推荐在沙箱或虚拟机里面搞。别直接在自己电脑里面安装。

防御方式：

对于CS架构的远控程序，微步情报可检出攻击者服务端资产IP，除此之外，客户可以根据远控软件的特性进行自我排查：

• IP-Guard受控端程序常连接服务端主机8237端口，山东固信受控端常连接服务端主机13023端口
• IP-Guard受控端程序含有数字签名：T.E.C Solutions (G.Z.)Limited，山东固信受控端含有数字签名：Shandong Gooxion Software Co.,Ltd.

对于SaaS化架构的远控程序，受控端程序连接供应商的资产，可以根据访问资产进行排查：

• 长亭牧云外联地址:collie-agent.chaitin.com (121.40.127.235:50051)rivers-collie.oss-accelerate.aliyuncs.com
• 360云管理外联地址：admin.online.360.cnapi.online.360.cn

如果发现相关告警，因为这些软件都具备防卸载退出功能，所以常规的卸载退出方式无法直接使用，所以需要联系软件供应商进行卸载。

如果安装了相关杀毒软件，可以开启远程保护功能，防止任何远程连接程序针对电脑进行远程操作。不过这意味着所有远程功能都会被屏蔽。有些企业版杀毒软件支持设置白名单功能，根据需求自定义吧。

补一个最近差不多的事件
https://mp.weixin.qq.com/s?__biz=MzI5NjA0NjI5MQ%3D%3D&mid=2650181915&idx=1&sn=3dd50198c69108c066c94f952b1a5639&chksm=f5e2d9f4c090ce08c89901d407918299f9af65f213ce373ee9a8291fc7abdf663f8987dfe525&scene=262&from=industrynews&version=4.1.28.6010&platform=win&nwr_flag=1#wechat_redirect

近日，微步安全服务团队日常巡检中发现，有攻击者仿冒了金融、央企等20多家企业的VPN站点，意图发起大规模水坑攻击，传播远控木马。

鉴于本次攻击危害较大，可导致攻击者窃取敏感信息和远程控制受害终端，建议用户尽快封禁仿冒VPN服务站点以及相关C2地址，并检测、查杀恶意代码，IoC参见附录。

仿冒单位站点如下：

块引用
XXX资金清算中心有限责任公司VPN
XXX信VPN - 中国XX银行股份有限公司
上海XX交易所准入系统
XX信VPN - XX银行股份有限公司
XXX资金清算中心有限责任公司VPN
XX信VPN - XXXX银行股份有限公司
中国XXXX研究所 - XX专用VPN
中国XXXX集团有限公司VPN
XX信 VPN - 中国XX建X集团有限公司
上海XX交易所门户
中国第XXX集团有限公司
XXXhome科技有限
中国XX安全消防准入系统
中国XX集团XX公司
中国XXXX信息化平台专用VPN
中国XX安全消防准入系统
XX银行XX分行VPN系统
XX信 VPN - 中国XX建X集团有限公司
中国XXXX信息化平台专用VPN
XX银行XX分行VPN系统
中国XXX备集团有限公司
XX集团有限公司
XXXhome科技有限
国家XXXX信息中心
XX信息技术服务有限责任公司
中国XX证券股份有限公司
中国XX有限责任公司信息技术部
中国XX证券股份有限公司
XX信息技术服务有限责任公司
XX集团有限公司
XX银行股份有限公司准入系统
中国XXXX集团有限公司VPN
XX汽车集团有限公司 - Access
中国XXXX集团有限公司VPN
上海XX交易所门户

From 网络安全 to 开发调优